CVE-2023-44981

ALT: (9,8)

CVSS3: 8,5

Apache ZooKeeper podria permetre a un atacant remot eludir les restriccions de seguretat, causades per una fallada quan l’autenticació SASL Quorum Peer està habilitada. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per evitar l’autorització i permetre que punts finals arbitraris s’uneixin al clúster i comencin a propagar canvis falsificats.

Sistemes Afectats

• Apache ZooKeeper 3.7.0
• Apache ZooKeeper 3.7.1
• Apache ZooKeeper 3.8.0
• Apache ZooKeeper 3.8.2
• Apache ZooKeeper 3.9.0

Remediació
Actualitzeu a la darrera versió d’Apache ZooKeeper (3.7.2, 3.8.3, 3.9.1 o posterior), disponible al lloc web d’Apache. Vegeu-ne les Referències.

Referències

• CVE-2023-44981: Apache ZooKeeper: Authorization bypass in SASL Quorum Peer Authentication
• Apache ZooKeeper
• Authorization Bypass Through User-Controlled Key vulnerability in Apache ZooKeeper.